樊瑞
《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》建立了中國(guó)數(shù)據(jù)出境安全管理的基本框架,《數(shù)據(jù)出境安全評(píng)估辦法》明確了具體操作規(guī)則。圖/IC
中國(guó)對(duì)數(shù)據(jù)出境的安全評(píng)估有了明確規(guī)則。
7月7日,國(guó)家互聯(lián)網(wǎng)信息辦公室(下稱(chēng)“國(guó)家網(wǎng)信辦”)公布《數(shù)據(jù)出境安全評(píng)估辦法》(下稱(chēng)《辦法》)。該《辦法》自2022年9月1日起施行。
國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人表示,出臺(tái)《辦法》旨在落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的規(guī)定,規(guī)范數(shù)據(jù)出境活動(dòng),保護(hù)個(gè)人信息權(quán)益,維護(hù)國(guó)家安全和社會(huì)公共利益,促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng),切實(shí)以安全保發(fā)展、以發(fā)展促安全。
多位專(zhuān)家在接受《財(cái)經(jīng)》記者采訪時(shí)表示,《辦法》彌補(bǔ)了數(shù)據(jù)出境的安全漏洞,健全了數(shù)據(jù)出境安全屏障。他們建議,相關(guān)企業(yè)在數(shù)據(jù)出境活動(dòng)發(fā)生前,應(yīng)依法開(kāi)展風(fēng)險(xiǎn)自評(píng)估、申報(bào),并通過(guò)數(shù)據(jù)出境安全評(píng)估。
《辦法》中明確,其適于數(shù)據(jù)處理者向境外提供在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估。同時(shí)提出,數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合等原則。
《辦法》明確,數(shù)據(jù)出境活動(dòng)包括兩種情況:一是數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)或調(diào)用。
《辦法》還規(guī)定,在四種情況下,數(shù)據(jù)處理者應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。
(一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);(二)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;(三)自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;(四)國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。
根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等的運(yùn)營(yíng)企業(yè),大型電信運(yùn)營(yíng)商、能源企業(yè)、民航公司、金融機(jī)構(gòu)等都屬于此類(lèi)主體范圍。
而為何將處理100萬(wàn)人的個(gè)人信息作為是否需要進(jìn)行安全評(píng)估的標(biāo)準(zhǔn)?中國(guó)法學(xué)會(huì)網(wǎng)絡(luò)與信息法學(xué)研究會(huì)副秘書(shū)長(zhǎng)、中國(guó)社科院法學(xué)所網(wǎng)絡(luò)與信息法室副主任周輝透露,在《辦法》制定中,100萬(wàn)人的標(biāo)準(zhǔn)曾經(jīng)有過(guò)爭(zhēng)議,“許多中國(guó)企業(yè)的用戶(hù)都可能超過(guò)這一標(biāo)準(zhǔn),雖然100萬(wàn)人占中國(guó)人口的比重并不大,但是要放在全球范圍內(nèi)來(lái)看,這是很大的一個(gè)規(guī)?!?。
北京德恒律師事務(wù)所合伙人、網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室數(shù)據(jù)安全咨詢(xún)專(zhuān)家劉揚(yáng)對(duì)《財(cái)經(jīng)》記者表示,“我的理解是,對(duì)達(dá)到100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者的安全要求,應(yīng)當(dāng)?shù)韧陉P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者?!币簿褪钦f(shuō),相關(guān)機(jī)構(gòu)如果出現(xiàn)數(shù)據(jù)安全問(wèn)題,對(duì)公眾造成的影響不低于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。
那么,哪些類(lèi)型的個(gè)人信息會(huì)受到重點(diǎn)關(guān)注?
周輝指出,結(jié)合《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定來(lái)看,個(gè)人信息是以電子或者其他方式記錄的,與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,但不包括匿名化處理后的信息。例如,個(gè)人的賬號(hào)密碼、身份證件號(hào)碼、出生日期等。此外,還包括敏感個(gè)人信息,即一旦被泄露或被非法使用,容易導(dǎo)致具體個(gè)人人格尊嚴(yán)受到侵害,或人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,具體包括生物識(shí)別、宗教信仰、特定身份、健康狀況、金融賬戶(hù)、行蹤軌跡等信息,以及不滿14周歲的未成年人信息。
根據(jù)《辦法》,數(shù)據(jù)出境安全評(píng)估主要包括七個(gè)方面。
一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性。
二是境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求。
三是出境數(shù)據(jù)的規(guī)模、范圍、種類(lèi)、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)。
四是數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障。
五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。
六是遵守中國(guó)法律、行政法規(guī)、部門(mén)規(guī)章情況。
七是國(guó)家網(wǎng)信部門(mén)認(rèn)為需要評(píng)估的其他事項(xiàng)。
《辦法》也明確了數(shù)據(jù)出境安全評(píng)估的具體流程。
首先是數(shù)據(jù)處理者在申報(bào)前,應(yīng)當(dāng)開(kāi)展自評(píng)。此后,應(yīng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)提交申報(bào),而國(guó)家網(wǎng)信部門(mén)在收到申報(bào)材料之日起7個(gè)工作日內(nèi),確定是否受理,并通知申報(bào)者。受理申報(bào)后,國(guó)家網(wǎng)信部門(mén)組織國(guó)務(wù)院有關(guān)部門(mén)、省級(jí)網(wǎng)信部門(mén)、專(zhuān)門(mén)機(jī)構(gòu)等進(jìn)行安全評(píng)估。國(guó)家網(wǎng)信部門(mén)在發(fā)出受理通知書(shū)之日起45個(gè)工作日內(nèi)完成評(píng)估。通過(guò)數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期為2年。如果在有效期內(nèi),發(fā)生影響出境數(shù)據(jù)安全的情況,需要重新申報(bào)評(píng)估。
《辦法》距離正式生效不足兩個(gè)月,將對(duì)企業(yè)產(chǎn)生什么影響?
世輝律師事務(wù)所合伙人王新銳指出,本身用戶(hù)數(shù)量較多(即超過(guò)100萬(wàn))的企業(yè),以及業(yè)務(wù)中涉及大量出境場(chǎng)景的跨國(guó)企業(yè),都會(huì)受到較大影響,可能觸發(fā)安全評(píng)估。
周輝表示,《辦法》實(shí)施后,將對(duì)達(dá)到評(píng)估申報(bào)標(biāo)準(zhǔn)的數(shù)據(jù)處理者產(chǎn)生約束性影響,尤其是金融、電信、衛(wèi)生健康、能源、民航等重要行業(yè)和領(lǐng)域。這些領(lǐng)域的機(jī)構(gòu)向境外提供的數(shù)據(jù),一方面可能涉及國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的重要數(shù)據(jù);另一方面因?yàn)樽陨肀淮_定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,同時(shí),其處理數(shù)據(jù)的量級(jí)輕易即可達(dá)到“100萬(wàn)人以上”。
周輝建議,上述相關(guān)行業(yè),應(yīng)當(dāng)盡快適應(yīng)《辦法》的要求,在數(shù)據(jù)出境活動(dòng)發(fā)生前依法開(kāi)展自評(píng)估、申報(bào)并通過(guò)評(píng)估。如果目前不符合《辦法》的管理要求,應(yīng)當(dāng)在《辦法》規(guī)定的期限(2023年3月1日)前完成整改。周輝還表示,這可能意味著數(shù)據(jù)出境活動(dòng)頻率、數(shù)量會(huì)受到一定程度的影響。一些難以在期限內(nèi)完成整改的數(shù)據(jù)出境業(yè)務(wù),可能因合規(guī)要求而暫停甚至終止。
劉揚(yáng)建議,在進(jìn)行數(shù)據(jù)出境安全評(píng)估過(guò)程中,應(yīng)當(dāng)結(jié)合企業(yè)實(shí)際情況,聘請(qǐng)專(zhuān)業(yè)人員輔助評(píng)估,形成規(guī)范化流程。
在全球化背景下,中國(guó)的數(shù)據(jù)出境已呈常態(tài)化趨勢(shì)。
周輝指出,隨著全球數(shù)字經(jīng)濟(jì)的快速發(fā)展和大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用,數(shù)據(jù)出境活動(dòng)日益普遍。目前,一些國(guó)家和地區(qū)已建立起有關(guān)數(shù)據(jù)出境的管理制度,幾乎都將數(shù)據(jù)跨境安全作為重點(diǎn)和出發(fā)點(diǎn)。
2022年5月19日,《辦法》經(jīng)國(guó)家網(wǎng)信辦2022年第10次室務(wù)會(huì)議審議通過(guò)?!掇k法》共有20條,規(guī)定了數(shù)據(jù)出境安全評(píng)估的范圍、條件和程序,為數(shù)據(jù)出境安全評(píng)估提供了具體指引。
中國(guó)科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟告訴《財(cái)經(jīng)》記者,數(shù)據(jù)是國(guó)家的戰(zhàn)略資源,“如果一個(gè)國(guó)家對(duì)于數(shù)據(jù)出境不設(shè)防,相當(dāng)于國(guó)家安全大門(mén)洞開(kāi)。在當(dāng)今社會(huì),每一個(gè)國(guó)家都應(yīng)當(dāng)建立數(shù)據(jù)出境安全的有關(guān)管理制度”。
《辦法》要求,對(duì)可能會(huì)影響國(guó)家安全、公共利益的數(shù)據(jù)出境,要經(jīng)過(guò)網(wǎng)信部門(mén)的安全評(píng)估。左曉棟指出,《辦法》在很大程度上彌補(bǔ)了國(guó)家安全漏洞,健全了國(guó)家數(shù)據(jù)出境安全的屏障。
實(shí)際上,中國(guó)近年正在逐步完善對(duì)于數(shù)據(jù)出境的相關(guān)立法。
2016年11月,全國(guó)人大常委會(huì)通過(guò)《網(wǎng)絡(luò)安全法》,其中第37條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)進(jìn)行安全評(píng)估。同時(shí)明確,安全評(píng)估辦法由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。
2021年,全國(guó)人大常委會(huì)先后通過(guò)了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》,將數(shù)據(jù)出境安全評(píng)估制度的實(shí)施范圍作出擴(kuò)展,不再將其局限于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。
左曉棟指出,根據(jù)一系列立法,中國(guó)完善了數(shù)據(jù)出境安全評(píng)估制度的法律依據(jù)。他還指出,《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》建立了中國(guó)數(shù)據(jù)出境安全管理的基本框架,但具體落地還有待細(xì)則和明確。2021年10月29日,國(guó)家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》,八個(gè)月后,《辦法》正式出臺(tái)。
周輝指出,在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》實(shí)施前,國(guó)內(nèi)不少機(jī)構(gòu)的數(shù)據(jù)出境活動(dòng)基本處于“裸奔”狀態(tài),有時(shí)數(shù)據(jù)權(quán)利人甚至都不清楚自己數(shù)據(jù)被出境,嚴(yán)重威脅著個(gè)人信息權(quán)益、社會(huì)公共利益乃至國(guó)家安全。通過(guò)立法確立了數(shù)據(jù)出境安全評(píng)估的基本制度后,涉及數(shù)據(jù)出境的機(jī)構(gòu)也迫切希望盡快明確具體的規(guī)則,以解決合規(guī)標(biāo)準(zhǔn)不清晰的問(wèn)題,《辦法》由此應(yīng)運(yùn)而生。
如何保證數(shù)據(jù)跨境流動(dòng)安全,是一個(gè)全球命題。
歐盟的數(shù)據(jù)跨境規(guī)則主要集中在《通用數(shù)據(jù)保護(hù)條例》(GDPR)中。周輝向《財(cái)經(jīng)》記者介紹,GDPR強(qiáng)調(diào)向歐盟境外提供個(gè)人信息不得削弱對(duì)個(gè)人信息的保護(hù)力度,除了獲得個(gè)人信息主體知情同意等特定例外情況外,具體要求包括:
第一,需要獲得歐盟充分保護(hù)認(rèn)定,這種認(rèn)定實(shí)質(zhì)上是歐盟對(duì)他國(guó)法律制度、監(jiān)管機(jī)構(gòu)設(shè)置、參加國(guó)際條約等方面的評(píng)估,是最嚴(yán)格的方式。一旦進(jìn)入這一白名單,數(shù)據(jù)跨境的便利性最大。目前只有新加坡、瑞士、日本等極少數(shù)國(guó)家通過(guò)了認(rèn)定。
第二,未通過(guò)認(rèn)定國(guó)家的數(shù)據(jù)接收方,滿足以下條件之一,歐盟的數(shù)據(jù)可以出境:1.其所在國(guó)與歐盟有數(shù)據(jù)跨境協(xié)議;2.采用歐盟委員會(huì)或歐盟委員會(huì)批準(zhǔn)的成員國(guó)通過(guò)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款;3.遵守經(jīng)歐盟監(jiān)管機(jī)構(gòu)批準(zhǔn)的行為準(zhǔn)則,以及數(shù)據(jù)處理者自身的數(shù)據(jù)保護(hù)承諾。
第三,對(duì)于企業(yè)集團(tuán)或跨國(guó)企業(yè)內(nèi)部子公司及其雇員的數(shù)據(jù)跨境,可以遵循“有約束力的公司規(guī)則”。該規(guī)則由企業(yè)集團(tuán)跨國(guó)企業(yè)制定,且需要經(jīng)過(guò)歐盟監(jiān)管機(jī)構(gòu)批準(zhǔn)。
左曉棟表示,中國(guó)的數(shù)據(jù)出境安全管理制度,應(yīng)該說(shuō)和國(guó)際慣例,特別是歐盟保持一致,“明確了數(shù)據(jù)出境安全的幾種情形”。
而美國(guó)則有不同的處理方式。周輝表示,美國(guó)自稱(chēng)數(shù)據(jù)自由流動(dòng),對(duì)數(shù)據(jù)跨境沒(méi)有嚴(yán)格的法律限制,更多通過(guò)市場(chǎng)機(jī)制解決。但在2022年4月,美國(guó)宣布了全球跨境隱私規(guī)則(CBPR)聲明,試圖將亞太經(jīng)濟(jì)合作組織(APEC)框架下的數(shù)據(jù)跨境傳輸機(jī)制(CBPR)的適用擴(kuò)展至全球范圍。CBPR的核心是建立基于CBPR和處理者隱私識(shí)別系統(tǒng)(PRP)的國(guó)際認(rèn)證體系,通過(guò)在全球推廣CBPR和PRP系統(tǒng),支持所謂的數(shù)據(jù)自由流動(dòng)。